Webshell后门文件通常由黑客以PHP、ASP等Web编程语言编写,并伪装成一些正常的文件类型,如图片、HTML文件、JS等等。当被安装在服务器上,Webshell后门文件隐藏在受害者服务器的某个目录中,黑客可以通过它随时访问和控制受害者服务器。
Webshell后门文件对于攻击者来说是非常有用的,因为它可以让攻击者在受害者服务器上执行远程代码,并从受害者服务器上获取所有敏感信息,如数据库账号激消密码、文件等等。
为了防余袜止Webshell后门文件的攻击,服务器管理员应该定期检查系统安全性,及时修复服务器上存在的漏洞,设置强密码、安装防火墙等竖铅激等。此外,及时更新服务器软件、及时扫描病毒、加密敏感文件等也是防止Webshell后门文件攻击的重要手段。
1、阿里云提示在x.x.x.x服务器上发现木马文件,被植入了webshell。
2、木马文件路径:/web/tomcat-xxx/webapps/no3/cc.jsp。
1、在未确认cc.jsp文件功能之前,将webapps文件夹下的no3文件夹和no3.war文件删除,同时将no3.war文件备份到/home/xxx目录下。
2、同时将no3文件夹下的cc.jsp文件发送到本地进行分析,确认是一枝升个jsp的木马后门文件,可以获取远程服务器权限。
1、攻击者在webapps文件夹下上传了一个no3.war文件,并创建了包含cc.jsp木马文件的no3 文件夹,首先应找到上传的方式和路径。查看下网站,发现网站是采用的Tomcat容器。
2、进一步的思路是排查Tomcat本身的漏洞,查看Tomcat的配置文件tomcat-users.xml,发现Manager APP管理员弱口令。
3、可能的攻击思路是,通过Tomcat弱口令漏洞上传耐薯war格式的木马文件。
1、通过admin/admin弱口令登录 http://x.x.x.x/ 的Manager App功能。
2、然后找到WAR file to depoly功能,上传一个包含了木马的Tomcat WAR包。WAR包类似于一个网站的压缩包文件,可以在WAR包里构造好自己的木马,然后传至服务器。
3、在这里测试上传了一个goodwin.war文件(war里边包含了一个木马文件cc.jsp),上传成功之后在服务器的网站根目录下会自动解压生成一个goodwin的文件夹。而木马文件cc.jsp就在goodwin文件夹内。
4、祭出菜刀神器,添加并连接刚才上传的木马文件地址,密码023。
5、然后打开文件管理功能,发现我们已经获得了服务器权限,并可以访问服务器上的所有文件。
6、这样就复现了攻击者通过上传一个no3.war文件,并自动解压生成一个包含了cc.jsp木昌搭者马的no3文件夹,然后通过远程连接获取了服务器的webshell,拿下了服务器权限的过程。
1、确定可疑文件为木马后门后,删除服务器上备份的no3.war。
2、删除测试过程上传的goodwin.war文件和goodwin文件夹下的所有文件。
3、修改Tomcat管理员密码。
1、排查并删除服务器上的可疑用户cat /etc/passwd。
2、不定期修改Tomcat口令,更改为包含了大写字母、小写字母、数字、特殊字符的强密码。
3、升级Tomcat版本,目前采用的版本为7.0.54,存在多个安全漏洞,建议升级到最新版本7.0.88。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)